内网安全管理系统产品白皮书.doc

内网安全管理系统产内网安全管理系统产 品白皮书品白皮书 leadsec-ism v3.5 全面的终端运维管理全面的终端运维管理 终端主机可进行全面的安全保护、监控、审计和管理终端主机可进行全面的安全保护、监控、审计和管理 ，功能不分模块销售。功能不分模块销售。 实名制的管理与审计实名制的管理与审计 管理策略根据人员身份制定，做到策略到人，控制到人，审计到人管理策略根据人员身份制定，做到策略到人，控制到人，审计到人 ，解决一机多人、一，解决一机多人、一 人多机的难题。人多机的难题。 三级联防的准入控制体系三级联防的准入控制体系 系统采用端点控制、局域接入控制、边界网关控制三级接入控制体系，可最大程度上适应系统采用端点控制、局域接入控制、边界网关控制三级接入控制体系，可最大程度上适应 用户网络环境，提供方便的准入管理。用户网络环境，提供方便的准入管理。 数据防泄漏数据防泄漏 数据信息及信息交换做到可加密、可控制、可审计。文件保密设置简单，移动存储加密保数据信息及信息交换做到可加密、可控制、可审计。文件保密设置简单，移动存储加密保 护，可保证私人专用要求。护，可保证私人专用要求。 全面协同防护全面协同防护 协同防火墙产品可实现终端的准入控制协同防火墙产品可实现终端的准入控制 协同协同 ids/ipsids/ips 产品可实现入侵行为的阻断产品可实现入侵行为的阻断 协同协同 sagsag 产品可实现远程用户的准入控制和身份的策略管理产品可实现远程用户的准入控制和身份的策略管理 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真2 ismism 产品白皮书产品白皮书 目目 录录 一、一、内网安全管理系统背景内网安全管理系统背景5 1.1内网安全概述 6 1.2内网安全管理的重要性.8 1.2.1内网威胁 8 1.2.2如何加强内网安全.10 二、二、内网安全管理系统概述内网安全管理系统概述12 三、三、内网安全管理系统架构内网安全管理系统架构13 四、四、内网安全管理系统功能内网安全管理系统功能17 4.1产品九大功能 17 4.1.1准入控制管理.17 4.1.2数据防泄漏 18 4.1.3实名制管理 21 4.1.4终端维护管理.22 4.1.5补丁分发管理.25 4.1.6终端资产管理.26 4.1.7上网行为管理.27 4.1.8报警控制台 28 4.1.9产品协同防护.29 五、五、内网安全管理系统功效内网安全管理系统功效30 5.1整体功效 30 5.2文件监控与审计 30 5.2.1杜绝文件操作不留痕迹现象.30 5.2.2杜绝信息拷贝的无管理状态.31 5.3网络行政监管 31 5.3.1屏幕监控 31 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真3 ismism 产品白皮书产品白皮书 5.3.2应用程序报告及应用程序日志.31 5.3.3浏览网站报告及浏览网站日志.32 5.3.4应用程序禁用.32 5.4网络辅助管理 32 5.4.1远程桌面管理.32 5.4.2远程控制 32 5.4.3远端计算机事件日志管理.32 5.4.4远程计算机管理.33 5.4.5信息化资产管理.33 5.5网络客户机安全维护.33 5.5.1补丁分发管理.33 5.5.2网络漏洞扫描.34 5.6安全接入管理 34 5.6.1非法主机网络阻断.34 5.6.2网络白名单策略管理.35 5.6.3ip 和 mac 绑定管理.35 5.7策略管理 35 5.7.1基于策略优先级的用户行为管理功能.35 5.7.2基于网络场景的管理策略.35 5.7.3基于用户帐户的策略管理.36 5.7.4基于在线、离线状态的策略管理.36 5.7.5基于分组的策略管理.37 六、六、内网安全管理系统特色内网安全管理系统特色38 6.1全网产品协同防护.38 6.2定向访问控制 38 6.3实名制管理 38 6.4报警控制台 39 6.5流量管理 39 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真4 ismism 产品白皮书产品白皮书 6.6arp 病毒免疫.39 6.7可扩展的高端应用接口.40 6.8补丁统一分发 40 6.9管理策略强制执行.40 6.10多元化的管理模式.40 6.11虚拟安全域管理.41 6.12策略的优先级管理.41 七、七、实施部署实施部署 42 7.1产品部署示意图 42 7.1.1典型部署 42 7.1.2多级部署 43 7.2部署位置 43 7.3部署方式 44 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真5 ismism 产品白皮书产品白皮书 一、一、内网安全管理系统背景内网安全管理系统背景 信息技术发展到今天，人们的工作和生活已经越来越依赖于计算机和网络； 然而，自网络诞生的那一天起，它就存在着一个重大隐患安全问题，人们 在享受着网络所带来的便捷同时，不得不承受着网络安全问题带来的隐痛。 说到网络安全，人们自然就会想到网络边界安全，但是实际情况是网络的 大部分安全风险均来自于内部。常规安全防御手段往往局限于网关级别、网络 边界（防火墙、ids、漏洞扫描）等方面的防御、重要的安全设施大致集中于机 房或网络入口处，在这些设备的严密监控，来自网络外部的安全威胁大大减小。 相反，来自网络内部的计算机终端的安全威胁却是众多安全管理人员所面临的 棘手的问题。 自 2003 年来。以 sql 蠕虫、 “尼姆达” 、 “冲击波” 、 “震荡波” 、 “熊猫烧香” 等病毒的连续性爆发为起点，到计算机文件泄露、口令泄露、硬件资产丢失、 服务器系统瘫痪等诸多终端安全事件在各地网络频繁发生，使政府机关和企事 业单位的网络管理人员头痛不已。总结起来，政府机关和企事业单位的内部网 络管理大致面对着以下问题： 如何获知全网所有计算机资产的风险状况和脆弱性，发现终端设备的系 统漏洞并自动分发补丁。 如何防范移动计算机和存储设备随意接入内网。 如何防止 u 盘造成的病毒传播和信息泄露。 如何防范内网设备非法外联。 如何对终端计算机在不同网络环境中及时应用不同的规则策略。 如何管理终端资产、保障网络设备的正常运行。 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真6 ismism 产品白皮书产品白皮书 如何在全网制定统一的安全策略。 如何规避终端用户随意访问网络带来的不必要的法律风险。 如何及时发现网络中占用带宽最大的终端。 如何点对点控制异常终端的运行。 如何防范内部涉密重要信息的泄露。 如何对原有终端应用软件进行统一监控、管理。 如何快速有效的定位网络中病毒、蠕虫、黑客的引入点，及时、准确的 切断安全事件发生点和网络。 如何架构功能强大的统一网络安全报警处置平台，进行安全事件响应和 事件查询，全面管理网络资源。 这些终端安全隐患随时随地都可能威胁到用户网络的正常进行。对于内部 网络的安全建设，我们建议从管理和技术两个方面入手，我们认为：“管理和 技术合二为一，才能达到网络安全目的” ；我们不能夸大技术手段的能力，也不 能偏颇管理的效力，以前的“技术 30%，管理 70%”的说法，我们认为并不是 很科学的。正确的解决途径应该是“管理和技术的有机结合” ，用技术来实现管 理目标，用管理来保障技术应用。网御内网安全管理系统，就是一款将管理和 技术合二为一的内网以及终端安全解决方案。 1.1 内网安全概述内网安全概述 信息技术发展到今天，人们的工作和生活已经越来越依赖于计算机和网络； 然而，自网络诞生的那一天起，它就存在着一个重大隐患安全问题，使人 们在一边享受着网络所带来的便捷，一边又不得不承受着网络安全问题带来的 隐痛。 2004 年公安部公共信息网络安全监察局对 7072 家政府、金融证券、教育 科研、电信、广电、能源交通、国防和商贸企业等部门和行业的重要信息网络、 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真7 ismism 产品白皮书产品白皮书 信息系统使用单位进行了调查，其中发生网络安全事件的比例占 58%。从这些 数据我们看到，网络安全已成为阻碍网络应用的关键所在，要使企事业的 it 资 源能够得到有效的利用，首先需要解决的是基本的网络安全威胁。值得欣喜的 是，网络安全得到越来越多人的重视，已经有许多企业在网络边界部署了防火 墙，网络中安装了杀病毒软件，部署了入侵检测、身份认证、漏洞扫描等系统 来防止外界威胁。然而，这些安全措施并没有对内网，尤其是没有对各个计算 机终端进行有效监控，从而无法避免内部 it 资源滥用、内部网络信息泄露、内 部员工的故意攻击等问题，更不能对各种因内部因素产生的网络安全问题进行 有效的预防、监控和审计。 事实上，堡垒最容易从内部攻破！ 目前，比较流行或者说应用比较广泛的一些网络安全系统主要有：防火墙、 杀病毒、入侵检测、身份认证、漏洞扫描等等，但这些网络安全系统基本都是 专门针对某一类型网络安全威胁的工具，主要定位在防范来自外部网络的安全 威胁，并不能够解决大部分内部网络安全问题：防火墙关注的是边界安全，对 于内部的各种非法滥用和攻击行为无能为力；杀病毒的定位更为清晰和专业， 就是针对病毒等恶意代码的攻击，不管内部网络行为和设备的应用等等。 我们都知道，进行网络安全体系建设，要综合考虑、注重实效，在我们考 虑防火墙杀病毒、入侵检测，甚至身份认证等系统来解决有关外部黑客入侵、 病毒困扰时，也要同时考虑来自内部网络的可信环境下的非授权网络行为和授 权滥用行为，因为这些才是网络安全面临的最大威胁，也是网络安全的最大挑 战。最理想的状态是，我们能够有效的分析各内部网络环境下比较具体和重要 的网络安全威胁，并组织相应的技术、产品以组合方案的方式，统一解决；既 考虑到投入成本与效益之比，又能最大程度上避免“木桶原理”的安全诅咒 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真8 ismism 产品白皮书产品白皮书 1.2 内网安全管理的重要性内网安全管理的重要性 1.2.1 内网威胁内网威胁 随着信息网络不断发展，内部泄密和内部攻击破坏已经成为威胁网络安全 应用的最大隐患。在众多的内部网络安全威胁中，最主要和最应关注的有： 首先，内部人员或设备的主动或者被动泄密内部人员或设备的主动或者被动泄密 泄密问题一直是内部网络的一个头疼问题，尤其是对于涉及国家机密或者 事关企业生存和发展的核心秘密，如国防军队/军工单位和政府行政办公的有关 信息、设计行业的设计方案信息、数据提供企业和商业企业的关键数据及公司 战略竞争信息等等，都不可避免的需要在内部计算机和网络中产生、传输、存 储、修改和应用，涉及到的人员、设备也比较多，因此泄密的危险性也比较大。 泄密的途径，也主要有两个，一是人员，二是机器设备；从主观态度上来看， 一种是无心的过失泄密，另一种则是蓄意的主动泄密行为。无论是什么形式的 泄密行为，都将会给企业带来不可忍受的损失，有的甚至侵害到国家的安全、 利益。 因此，我们需要对内部人员的计算机和网络操作行为进行规范，对网络内 部的各种设备进行统一管理、授权。 其次，内部人员主动或被动的制造传播病毒等恶意代码内部人员主动或被动的制造传播病毒等恶意代码 在网络应用非常深入的单位，总会有一些对网络技术非常感兴趣的人员， 这些人也许是有着某种目的，或者纯粹为了好奇，而制造、传播一些有病毒、 后门等特征的恶意代码，这些代码如果不进行及时的处理，有可能会引起网络 的混乱，使得部分甚至全部的网络资源不可用，从而影响单位的生产、办公。 还有些人员或设备，在没有防备的情况下，中了内部或者外部“恶性病毒”的 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真9 ismism 产品白皮书产品白皮书 “招” ，成为病毒攻击内部网络的“桥” ，从主观上来讲，这些设备和人员是被 动的，他们不知道已经被利用，然而他们的这些无意识行为也给网络运行造成 了不良影响。 这些病毒、木马等恶意程序往往利用系统漏洞进行破坏。 第三，非授权使用或者授权滥用非授权使用或者授权滥用 大部分单位都有管理制度来规范网络资源的使用，详细规定了某人或某机 器在什么时间、什么地点做什么类型的事情。也就是说，区分了授权和非授权 操作。但事实上实际情况往往不是这么简单。众多内网用户，会探测、尝试进 入非授权的领域。例如某公司规定程序员在上班期间不许上网，但员工却能想 出很多办法，在上班期间也能上网；还比如，某员工无权访问单位的业务数据 库，他通过攻击、欺骗等等手段，获得了访问数据库的权限；至于网络资源滥 用的实例就不胜枚举了：有权上网的员工，没有利用互联网去开展业务，而是 在下载电影、玩游戏等等，非工作需要拷贝、修改公司的关键数据等等。大部 分单位都想通过相应的制度来控制这些情况，然而实际效果却并不理想。非授 权使用或授权滥用依旧是我们最头疼的。 第四，内部人员或者设备的主动或者被动攻击内部人员或者设备的主动或者被动攻击 从网络诞生的那一天开始，黑客就存在，发展到今天已经到了无孔不入的 地步，而且还在进一步蔓延，许多黑客攻击行为已经不需要太多的网络攻击知 识，只需简单的攻击程序和设置就可以实现。在内部人员和设备中，也不乏这 样的角色，他们本身不具有很高超的攻击水平，而只是应用现成的攻击程序来 实现“黑客”目的，主动或者干脆被一些真正的黑客利用被动的去攻击内部网 络的一些目标。 黑客技术正在不断的迅速发展与变化，从一个漏洞发现到攻击代码实现， 到蠕虫病毒产生，几年前可能是几个月甚至半年多，而现在几周甚至一天就可 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真10 ismism 产品白皮书产品白皮书 以完成。在微软发布 ms04011 公告时，ngs 的 david 在看到公告的 8 分钟后 写出了攻击代码，xfocus 成员也在 6 小时内写出了通用的攻击代码。 第五，因安全管理不善，引发的因安全管理不善，引发的 itit 资源不可用或者资源损失资源不可用或者资源损失 这里的管理不善，主要是指没有一套科学的内部网络资源使用管理制度， 或者制度执行不力。比如，我们规定在某一些工作计算机上，不能安装运行某 些软件，可是还是有人安装了；对内部网络的 ip/mac 地址，做了统一的部署， 可是还是有人任意的修改；任意的将非本网络的设备接入内部网络；任意添加 或删除各种硬件设备、修改网络属性等等，这些行为都应该得到彻底的规范。 第六，客户机自身存在安全缺陷，导致网络内部安全隐患客户机自身存在安全缺陷，导致网络内部安全隐患 网络当中的客户机很多，终端的存在安全隐患容易导致网络安全事件。如 客户机存在安全漏洞，可能会引发蠕虫病毒等威胁。如果配置不完善，则容易 导致信息泄露甚至黑客攻击事件的发生。因此，维护每台客户机自身的系统安 全性，也是应该予以考虑的。 1.2.2 如何加强内网安全如何加强内网安全 根据内部人员违规、犯罪特点，要加强内网安全必须采取事先预防、事中 监控、事后审计的方针。 事先预防就是要防患于未然。 利用漏洞进行攻击也成为黑客最常用的手段之一。攻击者首先通过扫描工 具发现漏洞，然后利用相应的攻击工具实施攻击。这种攻击模式简单易行，危 害极大。由此可见，操作系统或者应用程序的漏洞是导致网络风险的重要因素。由此可见，操作系统或者应用程序的漏洞是导致网络风险的重要因素。 消除漏洞的根本办法就是安装软件补丁，补丁分发管理越来越成为安全管消除漏洞的根本办法就是安装软件补丁，补丁分发管理越来越成为安全管 理的一个重要环节。理的一个重要环节。补丁管理也需要有很强的及时性由于黑客技术的 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真11 ismism 产品白皮书产品白皮书 不断积累和发展，留给网络管理员进行漏洞修补的时间将会越来越少。因此补 丁管理也就需要有很强的及时性，如果补丁管理工作晚于攻击程序，那么企业 就有可能被攻击，造成机密信息泄漏。然而，在一个较大的局域网中，普遍存 在机器配置档次高低各异、操作系统分门别类、系统软件千差万别等问题，网 络管理员要想同时对这几百台甚至上千台终端设备及时快速地打上新的补丁程 序，几乎是不可能的。要靠手工保障每一个补丁在安装后正常运行，不对整个 网络系统造成其它破坏和隐患，更是完全不可想象的。因此对于终端节点众多 的用户，繁杂的手工补丁安装已经远远不能适应目前大规模的网络管理，必须 依靠新的技术手段来实现对操作系统的补丁自动修补。自动化的补丁分发管理自动化的补丁分发管理 工具已经成为网络安全管理人员实现及时、严密、持续的补丁管理的必备工具。工具已经成为网络安全管理人员实现及时、严密、持续的补丁管理的必备工具。 同时，除以上技术手段外，还应该从制度入手，严格规定人员、设备、数 据资源的安全级别，制订明确的规章制度并严格执行。严格限制重要信息数据 的传播范围，限制能够接触重要信息的人的行为。例如，对于数据传输、复制 设备要控制使用，避免造成信息泄露；对于接触重要信息数据的设备和人员进 行严密监控，防止非法操作；对于执行的程序和上网行为进行限制，防止运行 危险软件和对非法网站的访问；禁止非法外联和非授权主机接入，防止来自外 部的威胁。事先预防要通过必要的技术手段来实现，包括设备使用、应用程序、 上网行为、文件操作、网络访问等的监控，使具有一定权限的人员只能使用指 定的设备，完成指定的操作。将机要信息完全封闭在有限的网络区域内，防止 信息被无意泄露和有意窃取。 事中监控仅次于事先预防，对于违反安全策略的行为要及时报警，通过策 略机制进行响应，将损失减到最小。 事后审计是内网安全的必要措施，所有网络、终端的用户重要行为都应严 格记录、储存，便于事后查找。 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真12 ismism 产品白皮书产品白皮书 二、二、内网安全管理系统概述内网安全管理系统概述 网御内网安全管理系统是网御协同防护解决方案的重要组成部分，部署在 企业的内部网络中，用于保护企业内部资源和网络的安全性。 网御内网安全管理系统可以对内部终端计算机进行集中的安全保护、监控、 审计和管理，可自动向终端计算机分发系统补丁，禁止重要信息通过外设和端 口泄漏，防止终端计算机非法外联，防范非法设备接入内网，有效地管理终端 资产等。网御内网安全管理系统可以与防火墙、漏洞扫描设备进行有机联动， 共同提供全网安全解决方案。 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真13 ismism 产品白皮书产品白皮书 三、三、内网安全管理系统架构内网安全管理系统架构 网御内网安全管理系统由客户端模块、服务器模块、控制台三部分组成。 客户端代理模块对终端计算机进行监控，需要部署于每台需要被管理的终 端计算机上，用于收集数据信息，并执行来自服务器模块的指令。 服务器模块存储终端安全策略、终端计算机信息、漏洞补丁数据等等，并 由服务器向终端计算机客户代理模块发送指令。此模块安装在具有高性能 cpu 和大容量内存的服务器上。 控制台采用 b/s 结构可以运行在网络中的任意一台计算机上，用来监控每 台安装有代理模块的计算机，管理各类审计系统，制定安全策略。 系统结构如下图所示： www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真14 ismism 产品白皮书产品白皮书 1、网御内网安全管理系统服务器模块： 服务器模块包括服务器端软件和支持数据库。支持操作系统为 windows 2000 sp4、windows xp sp1、windows xp sp2、windows 20003 和 windows vista。数据库支持 my sql、microsoft sql server、sybase 和 oracale（建 议在客户端超过 100000 点，使用 microsoft sql server、sybase 和 oracale 数据库） 。服务器模块主要功能如下： 定时搜索网络，管理所有已安装客户端代理模块的计算机，并向代理模 块传递相关的设置和命令信息； 接收控制台用户数据请求指令，传送数据文件到控制台，由控制台进行 解密查看分析； 保存客户端代理用户信息； 存储系统组织结构，用户信息和系统工作配置参数； 收集客户端代理模块采集的数据，并保存到数据库中； 提供方便灵活的历史记录管理、归档、搜索、查看等功能； 2、网御内网安全管理系统控制台模块： 控制台模块是实现系统管理、参数配置、策略管理、系统审计的人机交互 web 界面。系统运行平台为 ie6.0 以上版本。控制台模块功能如下： 参数设置，包括控制台和服务器的工作参数； 用户（管理员）管理，包括：添加、删除、修改；系统管理员采用分权 分级的管理方式，每个管理员都有其授权工作范围和管理权限； 虚拟安全工作域结构管理，包括创建组织结构层次深度以及添加、删除 系统组织结构； 客户端代理的添加、安装和卸载； 客户端代理策略的配置和下发； 实时获取被监视计算机的屏幕快照等信息； www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真15 ismism 产品白皮书产品白皮书 设置监视和控制规则； 查看并播放记录在服务器端的历史记录； 查询特定机器特定时刻的历史记录； 监测日志的查看、分析和审计； 指定用户使用固定 ip 登陆控制台，提高安全性。 为保证客户端与服务器正常通信，禁用 ie 设置代理服务器项，避免因 不当的代理设置造成客户端无法与服务器正常通信。 3、网御内网安全管理系统客户端代理模块： 客户端代理模块是安装于受管理主机上的软件。软件安装支持本地安装和 网络安装等多种方式；客户端代理的卸载只从服务器接收控制台发出的卸载指 令，本地用户不能自行卸载、关闭管理程序。客户端代理的工作平台目前支持 windows 2000 sp4、windows xp sp1、windows xp sp2、windows 20003 和 windows vista。客户端代理模块主要功能如下： 接收服务器下发的工作策略，并按照该策略控制客户端代理的工作模式； 信息泄露防护，该模块包括对网络层、应用层、媒体介质、打印机和外 设接口等的监视控制； 运行监测：实时记录文件的操作，进程、服务、驱动、用户和组的变化 情况； 资产管理：接收服务器指令，上传系统的软件、硬件信息； 定时采集数据并保存，并将采集的数据传送到服务器； 响应控制台发出的监视请求，传送实时的屏幕快照信息； 根据系统的设置控制计算机的操作； 和服务器通信完成补丁的检测、下载和安装； 完成安全接入管理的实际功能。 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真16 ismism 产品白皮书产品白皮书 客户端升级后，重启确认框中加入了最小化按钮，避免弹出对话框影响 用户工作。 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真17 ismism 产品白皮书产品白皮书 四、四、内网安全管理系统功能内网安全管理系统功能 4.1 产品九大功能产品九大功能 4.1.1 准入控制管理准入控制管理 在线主机监测在线主机监测 可以通过监听和主动探测等方式检测系统中所有在线的主机，并判别在线 主机是否是经过系统授权认证的信任主机。 主机授权认证主机授权认证 可以通过在线主机是否安装客户端代理程序，并结合客户端代理报告的主 机补丁安装情况，防病毒程序安装和工作情况等信息，进行网络的授权认证， 只允许通过授权认证的主机使用网络资源。 非法主机网络阻断非法主机网络阻断 对于探测到的非法主机，系统可以主动阻止其访问任何网络资源，从而保 证非法主机不对网络产生影响，无法有意或无意的对网络攻击或者试图窃密。 网络白名单策略管理网络白名单策略管理 网御内网安全管理系统可以自动生成默认的合法主机列表，根据是否安装 安全管理客户端或者是否执行安全策略，来过滤合法主机列表，快速实现合法 主机列表的生成，降低管理员的工作量。同时允许管理员设置白名单例外列表， 允许例外列表的主机不安装客户端但是仍然授予网络使用权限，并根据需要授 予可以和其他授权认证过的主机通信的权限或者允许和任意主机通信的权限。 ip 和和 mac 绑定管理绑定管理 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真18 ismism 产品白皮书产品白皮书 可以将终端的 ip 和 mac 地址绑定，禁止用户修改自身的 ip 和 mac 地址， 并在用户试图更改 ip 和 mac 地址时，产生相应的报警信息。 防病毒软件管理防病毒软件管理 可以检测终端上是否安装有防病毒软件，以及安装的防病毒软件是否处于 工作状态，病毒库是否过期等信息。网御内网安全管理系统可以辅助客户端完 成防病毒软件病毒库的更新，对于未安装防病毒系统的客户端，可以对其进行 网络访问管理控制，新版本增加了对 360 安全卫士检测。 4.1.2 数据防泄漏数据防泄漏 企业的商业合同、财务报表、软件程序代码等等商业秘密信息都分散地保 存在员工的终端主机中。对于企业来说，企业老板电脑笔记本的文件重要程度 已经不亚于企业核心数据库。因此，对终端主机文件数据的加密存储和可控交 换控制，已经越来越受到企业所重视。 主机文件数据防泄露主机文件数据防泄露 基于“谁的数据安全谁负责”的原则设计，终端用户可按照自己的安全需 求，自主对文件进行加密保护。 操作简单 1. 终端主机的接受管理服务器的允许启用此功能，终端就拥有了此功 能。 2. 终端用户选定文件，单击鼠标右键就可实现加密或解密操作。 密钥简单 无需复杂的密钥管理，可采用口令信息或本机硬件特征码或二者组合信息， 对文件实现加密。对于采用组合信息加密的文件，只有知道口令的用户，只有 在加密的终端上，才能对文件解密。 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真19 ismism 产品白皮书产品白皮书 文件访问审计 可根据设定的策略对终端主机的所有文件访问进行审计，对文件的打开、 拷贝、复制、粘贴、打印、删除等所有操作均可进行审计。 移动存储介质安全管理移动存储介质安全管理 基于内网统一策略管理，可实现对外来 u 盘的全部禁止；按照不同的安全 需求，选用注册 u 盘、保密 u 盘或安全 u 盘，实现文件安全交换。 对外来对外来 u u 盘的注册管理盘的注册管理 1. 外来普通 u 盘必须在网络管理员处注册成为注册 u 盘，方可在注册地内 网使用。注册 u 盘在外网主机的使用不受影响。 2. 内网可以下达统一的安全策略，来限制注册 u 盘的使用范围，从而实现 指定的注册 u 盘只有在指定的终端进行操作。 3. 支持终端主机对注册 u 盘的在线和离线管理。 4. 全程审计注册 u 盘在终端上的使用。 保密保密 u u 盘只能在内网使用盘只能在内网使用 1. 普通 u 盘经过内网安全管理系统处理和注册后成为保密 u 盘，只能在注 册内网使用，在其他网络中无法使用。 2. 通过安全策略，对可对使用保密 u 盘的终端主机范围和用户做出控制。 3. 支持终端主机对保密 u 盘的在线和离线管理。 4. 全程审计保密 u 盘在终端主机上的使用。 存储设备禁用存储设备禁用 网御内网安全管理系统可以禁止如下存储设备的使用：软驱（floppy） 、光 驱（cd/dvd/hd-dvd/blue ray） 、磁带机、flash 存储设备（u 盘及 mp3 播放器） 、 移动硬盘（usb 或 1394）等，新增的 u 盘只读功能，保证数据读取的前提之下， 防止利用 u 盘拷贝数据和某些 u 盘病毒的传播。 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真20 ismism 产品白皮书产品白皮书 外设和接口禁用外设和接口禁用 网御内网安全管理系统可以禁止如下外设计口的使用：串口和并口 （com/lpt） 、scsi 接口、蓝牙设备、红外线设备、打印机、调制解调器、usb 接口、火线接口（1394） 、pcmcia 插槽等。 设置移动存储设备只读设置移动存储设备只读 可以设置将所有移动存储设备置于只读状态，不允许用户修改或者写入。 移动存储设备认证移动存储设备认证 管理员可以通过网御内网安全管理系统对指定的移动存储设备进行认证， 并将认证信息存储在系统中，同时下发到指定客户端上，经过认证的移动存储 设备可以在指定的客户端上全权使用。 文件访问审计文件访问审计 可以记录计算机上对各种文件和文件夹的访问和操作情况，并可以根据管 理员的设置，对客户端产生桌面消息通知、锁定计算机、断网和向服务器发送 邮件等系统报警信息。 上网访问行为审计上网访问行为审计 可以记录终端系统上网行为的情况，并可以根据管理员的设置，对客户端 产生桌面消息通知、锁定计算机、弹出 url 地址、断网和向服务器发送邮件等 系统报警信息。 程序行为审计程序行为审计 可以记录终端系统上所有使用过的程序，并可以根据管理员的设置，对客 户端产生桌面消息通知、锁定计算机、断网和向服务器发送邮件等系统报警信 息。 网络共享审计与管理网络共享审计与管理 可以记录终端系统上所有的共享文件夹，并可以远程对共享文件夹予以关 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真21 ismism 产品白皮书产品白皮书 闭。 网络端口通信审计网络端口通信审计 可以对终端的网络端口与协议使用情况进行监测和审计。 终端用户屏幕审计终端用户屏幕审计 可以定时抓取终端计算的屏幕，并按照时间顺序予以记录，供管理员查阅。 打印审计与管理打印审计与管理 可以监测终端计算机进行打印的事件，记录日志并可以根据策略产生报警 信息。可以禁止终端计算机的打印操作。 终端用户变化审计终端用户变化审计 可以发现终端用户的变化（如添加/删除用户） ，记录日志并根据策略产生 系统报警信息。 文件操作管理文件操作管理 系统可以通过文件名和文件类型的方式制定管理策略，管理客户端上的文 件访问、复制、粘贴、共享、移动、删除等行为，并可以根据客户端的违规情 况，对客户端进行桌面消息通知、锁定计算机、断网和向服务器发送邮件等控 制。 4.1.3 实名制管理实名制管理 实名制管理安全就是根据受控人员身份定义安全策略，最终实现“策略到策略到 人，控制到人，审计到人人，控制到人，审计到人”的管理目标。实名制管理包括以下内容：身份管理、 认证管理、授权管理，以及综合审计。 身份管理身份管理 对已有用户身份管理体系的企事业单位，内网安全管理系统可与第三方身 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真22 ismism 产品白皮书产品白皮书 份管理系统融合。 （包含使用 windows 域的企事业单位） 。对无用户管理系统的 企事业单位，内网安全管理系统内嵌 radius 用户管理系统。 认证管理认证管理 内网安全管理系统兼容各种认证系统，可以实现无缝结合，如需变更现有认 证体系。员工启动终端主机，提示输入认证信息（账号） ，根据认证信息（账号） 进行管理策略的匹配和执行。 授权管理授权管理 终端主机系统启动，员工如不输入认证信息（账号） ，安全策略定义的授权 范围为最小，只能进行受限的主机操作。员工登陆终端主机输入认证信息（账 号）进行管理策略的匹配，强制员工遵守此安全策略授权的行为权限。 综合审计综合审计 终端审计可实现全部操作事件与用户身份的一一对应，并可按用户查询审 计记录。 网络审计配合实名 ip 策略，基于全网范围内 ip 地址与人员身份的一一对 应，实现全部网络设备上的审计记录均可对应到具体用户。 “一机多人”不同用户使用同一终端主机时，不同用户受到不同的 安全策略的限制和管理； “一人多机”同一用户使用不同终端主机时，受到相同的安全策略 的限制和管理。 4.1.4 终端维护管理终端维护管理 内网安全管理重点解决客户端计算机内网安全管理和行为的审计。网御内 网安全管理系统可以对客户端的防病毒软件的安装、运行及病毒库升级与否进 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真23 ismism 产品白皮书产品白皮书 行管理，可以对用户的文件、进程、上网行为等进行管理，并可以对客户端计 算机上的文件、应用程序、上网行为等进行详细的审计，同时支持进程白名单 功能。 。内网安全管理可以分为内网安全管理和桌面行为两个大的功能项。 服务和进程管理服务和进程管理 系统可以通过控制服务名和进程名的方式制定管理策略，管理客户端上运 行的服务和进程，并可以根据客户端的违规情况，对客户端进行桌面消息通知、 锁定计算机、断网和向服务器发送邮件等控制。 终端在线终端在线/离线策略管理离线策略管理 网御内网安全管理系统可以对终端在线/离线 2 种状态下应用的策略分别予 以设置。客户端和服务器连接能够进行通信时为在线状态，无法和服务器完成 通信时即为离线状态。通过对在线/离线 2 种状态设置不同的策略，对于经常移 动办公的设备（如笔记本）可以提供更加灵活实用的管理。 远程监视远程监视 管理员可以远程直接控制一台终端设备，接管远程终端的桌面操作，进行 服务器桌面管理或者帮助用户解决问题。 远程计算机管理远程计算机管理 能够对对远程终端计算机执行锁定、注销、重启、关机等操作。锁定计算 机除非管理员解锁，否则无论强制重新启动或者进入安全模式均不能使用。 系统设置管理系统设置管理 可以禁止终端用户自行修改网络属性，ie 属性等设置，防止用户的更改对 网络安全造成影响或引入安全风险。 远程控制远程控制 管理人员可以通过控制台远程取得客户机的控制权，身临其境般进行操作。 对于远端客户机出现的问题，管理人员能够即时、方便的解决。在远程维护或 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话服务热线：400-810-7766(7x24 小时) 传 真24 ismism 产品白皮书产品白皮书 者远程操作业务系统中发挥多方面的作用。 用户用户/权限管理权限管理 网御内网安全管理系统的用户和权限管理采用的是由美国国家标准协会提 出的 rbac 模型，即基于角色访问控制模型。基于角色的访问控制提供了一种 简单灵活的访问控制机制，只给角色分配权限，用户通过成为角色的成员来获 得权限。这与过去系统中直接给用户授权的管理模型相比更灵活方便。 流量审计流量审计/控制控制 系统可以对客户端的网络流量进行分时审计，管理员可以在服务器端看到 用户的分时审计流量值，根据流量值管理员可以判断网络中部分用户在使用迅 雷下载或 p2p。同时管理员可以根据流量审计数据做出一些控制，在流量当上 传、下载流量超过设定的阀值时，将会触发用户策略，根据策略可以做出告警、 计算机锁定、客户端限时断网。 流量的审计与控制是为管理员提供了有效可靠的流量控制方案，并在数据 库查询模块中增加客户端流量查询功能。 。 日志管理日志管理 系统提供强大的日志管理功能并且支持日志的实时输出，可以与 4a，soc 等主流管理软件相结合构造整体安全解决方案。同时提供多种方式的日志检索 分析功能便于用户查询分析，对于终端网络操作过程中出现问题的分析与解决 具有重要意义。日志管理包括日志查询、日志分析、日志删除等。 详细的审计、分析与报告详细的审计、分析与报告 网御内网安全管理系统会根据管理人员的要求生成所关心的计算机应用的 各种统计报表，从而可以对内部人员计算机的使用情况进行评估，例如查询： 网站访问记录、应用程序记录、文件使用记录、历史屏幕快照记录等。系统提 供了功能强大的报表功能，报表格式支持 word、pdf、html、txt、excel、xml 等，预定义了多种报表模板，同时支持用户自定义报表模板。报表类型包 www.leadsec.com.cn 地址：北京海淀区中关村南大街 6 号中电信息大厦 8 层（100086） 公司电话：010-821